1
我偶然發現了一個奇怪的邊緣案例。如果我錯過了一個條件,我不是100%確定的,所以如果其他人能夠複製,這將是有趣的。應用程序的所有者獲取了錯誤的訪問令牌
- 鑑於我是一個應用程序
- 和另一flattr的用戶的所有者連接到這個應用程序
- 和我連接與應用程序
- 我Flatrr帳戶,我撤銷了訪問該應用我flattr的佔
- 我再接我的flattr的帳戶
- 我希望得到我的帳戶的訪問令牌,但
- 我得到了其他C的訪問令牌onnected flattr的帳號使用時發生
此: Passport上的Node.js與passport-flattr strategy
這種設置令牌上的端點不使用基本的OAuth但將普通客戶端憑證代替。
這似乎不是一個安全問題,因爲應用程序的所有者已經可以訪問連接到其應用程序的所有訪問令牌。
我似乎無法使用我們的測試軟件重現此問題。將嘗試護照和你的策略。 – 2012-02-15 07:52:08
這是現在轉載和修補。 ;) – 2012-02-22 20:35:58